Obowiązek informacyjny w placówce medycznej

Spis treści:

1. Warstwowa realizacja obowiązku informacyjnego
2. Miejsce spełnienia obowiązku informacyjnego
3. Obowiązek informacyjny jako część dokumentacji
4. Zwięzła, przejrzysta i zrozumiała forma
5. Przypadek szczególny: monitoring wizyjny
6. Przypadek szczególny: monitoring gabinetowy

Klauzula informacyjna stanowi źródło informacji o celach i podstawach przetwarzania danych osobowych oraz o prawach wynikających z rodo przysługujących osobom, których dane dotyczą. Dlatego tak ważne jest, aby klauzula była zwięzła i zrozumiała dla jej adresata, zwłaszcza jeśli jest on pacjentem.

W niniejszym artykule omówione zostaną dobre praktyki dotyczące realizacji obowiązku z art. 13–14 rodo wobec pacjentów. Właściwe spełnienie tego obowiązku jest istotne dla podmiotów wykonujących działalność leczniczą (szczególnie w sytuacji, w której placówki te wykorzystują monitoring wizyjny lub tzw. monitoring gabinetowy).

Realizacja obowiązków informacyjnych w każdej branży pozostawia wiele do życzenia. Administratorzy danych mają problemy dotyczące ich spełniania. Jak szczegółowa ma być treść klauzuli informacyjnej? W jakiej formie klauzule należy udostępniać osobom, których dane dotyczą? Czy osoby te mają potwierdzać zapoznanie się z obowiązkiem przez podpisanie dokumentu z jego treścią? Zapewne nieprzypadkowo pierwszym postulatem zgłoszonym za pośrednictwem serwisu SprawdzaMY (prowadzonego przez Rafał Brzoska Foundation), obszaru ochrony danych osobowych, był wniosek dotyczący zwolnienia mikroprzedsiębiorców z „nadmiernych obowiązków informacyjnych” [1].

W mojej ocenie spora część problemów związanych z tym obszarem ma swoje źródło w zbytnim koncentrowaniu się na treści art. 13–14 rodo. Prawodawca unijny wskazuje w nich informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą (lub w sposób inny niż od tej osoby). Często natomiast pomija się art. 12 ust. 1 rodo, w którym opisano sposób prowadzenia komunikacji administratora danych z osobami, których dane przetwarza. Po części wynika to oczywiście z tego, że zasady te są opisane w sposób mało konkretny, co utrudnia ich praktyczną realizację. Stąd też pomysł na napisanie artykułu, który miałby wspierać podmioty wykonujące działalność leczniczą w tym zakresie.

Warstwowa realizacja obowiązku informacyjnego

Informacji, które należy przekazać pacjentowi zgodnie z wymogami art. 13–14 rodo, jest dużo. Nie oznacza to jednak, że należy mu je wszystkie przekazywać jednocześnie. Z punktu widzenia osoby, której dane dotyczą, pewne elementy obowiązku informacyjnego są ważniejsze i to z nimi pacjent powinien zapoznać się w pierwszej kolejności.

W taki sposób, w największym skrócie, przedstawia się idea realizowania obowiązku informacyjnego w sposób warstwowy. Nie jest to pomysł nowy. Został opisany już w wytycznych Grupy Roboczej art. 29 ds. ochrony danych w sprawie przejrzystości z 29 listopada 2017 r. [2], czyli ponad 7 lat temu. Mimo to wciąż nie przyjął się jeszcze w placówkach medycznych (ani u innych administratorów) w takim zakresie, jakiego należałoby oczekiwać. Wciąż nierzadkie są sytuacje, w których osoba dzwoniąca do podmiotu leczniczego musi wysłuchać kilkuminutowego nagrania obowiązku informacyjnego czy czytać e-mail, w którym stopka z klauzulą informacyjną zajmują więcej miejsca niż treść wiadomości.

Grupa Robocza art. 29 we wspomnianych wytycznych podkreśla, że celem warstwowego realizowania klauzuli informacyjnej jest m.in. unikanie zmęczenia informacyjnego [3]. Jeżeli pacjentowi zostaną przekazane najważniejsze informacje dotyczące postępowania z jego danymi osobowymi (pierwsza warstwa), jest większa szansa, że będzie w stanie je przyswoić. Może być również bardziej zainteresowany zapoznaniem się z pozostałymi informacjami (druga warstwa).

Które elementy z art. 13–14 rodo są najważniejsze i tym samym powinny być udostępniane pacjentowi w pierwszej kolejności? W ocenie grupy roboczej mają to być „informacje dotyczące przetwarzania, które ma największy wpływ na osobę, której dane dotyczą” [4]. Treść rodo nie daje podstaw dla kierowania się w tym względzie kolejnością poszczególnych ustępów i liter; kierując się punktem widzenia osoby, której dane dotyczą, należałoby zacząć od danych kontaktowych administratora (art. 13 ust. 1 lit. a rodo) oraz celu i podstawy prawnej przetwarzania (art. 13 ust. 1 lit. c rodo) [5].

Informacjom na pierwszej warstwie powinna towarzyszyć wskazówka, gdzie znajduje się druga warstwa. Powinna ona być dostępna dla osoby, której dane są przetwarzane, w taki sposób, by dotarcie do niej nie wiązało się ze znacznym nakładem sił i środków.

Miejsce spełnienia obowiązku informacyjnego

Wymóg ten prowadzi nas do kolejnego istotnego obszaru, jakim jest miejsce spełnienia obowiązku informacyjnego. Tutaj najwięcej zależy od tego, do jakich pomieszczeń i obszarów mają dostęp pacjenci.

W znakomitej większości przypadków pierwszy osobisty kontakt pacjenta z podmiotem leczniczym ma miejsce w rejestracji lub recepcji. To tam osoba potrzebująca świadczenia zdrowotnego lub innej usługi udaje się, by poprosić o pomoc pracownika lub zapoznać się z udostępnionymi na tablicach ogłoszeń materiałami: danymi kontaktowymi placówki medycznej, godzinami przyjęć czy prawami pacjenta. Jest to też zatem odpowiednie miejsce do spełnienia obowiązku informacyjnego.

Szczegóły zależą oczywiście od tego, jakie pomieszczenie zajmuje rejestracja i w jaki sposób jest zorganizowana jej praca. Obowiązek informacyjny może być przyklejony do szyby, wywieszony na tablicy ogłoszeń, umieszczony na plastikowym stojaku bądź wyłożony na tacce.

Drugim obszarem kontaktu pacjenta z placówką medyczną jest internet. Coraz więcej podmiotów wykonujących działalność leczniczą ma swoje strony internetowe czy profile w mediach społecznościowych, część jest także zobowiązana do prowadzenia Biuletynów Informacji Publicznej. Warto więc i w tych miejscach umieszczać obowiązki informacyjne, przeznaczone dla pacjentów.

Z punktu widzenia przepisów rodo najlepiej jest publikować klauzule informacyjne w obu tych obszarach. Obowiązek na stronie internetowej jest dostępny przez całą dobę, nie wymaga osobistej wizyty pacjenta i łatwo będzie do niego dotrzeć osobie, która biegle posługuje się współczesną technologią. Z kolei klauzula na tablicy ogłoszeń będzie dostępna dla tych pacjentów, którzy podobnej biegłości technologicznej nie posiadają (to przede wszystkim osoby starsze) i których kontakt z placówką medyczną ogranicza się do wizyt osobistych.

Obowiązek informacyjny jako część dokumentacji

Niektóre placówki medyczne decydują się na włączenie obowiązków informacyjnych do dokumentów, wypełnianych przez pacjentów przy okazji ich pierwszej wizyty: deklaracji wyboru lekarza podstawowej opieki zdrowotnej, upoważnienia ws. dostępu do dokumentacji medycznej itd. Po części jest to podyktowane przeświadczeniem, że należy udowodnić zapoznanie się przez pacjenta z treścią klauzuli informacyjnej za pośrednictwem jego własnoręcznego podpisu.

Należy podkreślić, że rodo nie nakłada na administratora danych takiego wymogu. Z przepisów wynika, że należy dać osobie której dane dotyczą, realną szansę zapoznania się z treścią obowiązku informacyjnego. Jeżeli administrator ma w tym zakresie odpowiednie procedury i jest w stanie udowodnić ich realizację w praktyce (zgodnie z zasadą rozliczalności), publikacja obowiązku na tablicy ogłoszeń lub na stronie internetowej w zupełności wystarczy.

Realizacja obowiązku informacyjnego przez jego umieszczenie w treści dokumentu nie jest błędem ani naruszeniem przepisów rodo. Jest to jednak działanie generujące dla placówki medycznej dodatkowe koszty i utrudniające ewentualną aktualizację treści klauzul.

Zwięzła, przejrzysta i zrozumiała forma

Adresatem obowiązku informacyjnego jest jego podmiot. W wielu przypadkach można jednak odnieść wrażenie, że klauzule informacyjne w podmiotach leczniczych są tworzone z myślą o przedstawicielach organu nadzorczego lub innych specjalistów od ochrony danych osobowych. Takie działania należy uznać za sprzeczne z duchem rodo. Klauzule informacyjne dla pacjentów mają być:

• zwięzłe – w mojej ocenie pełna treść obowiązku informacyjnego nie powinna zajmować więcej niż dwie strony A4 tekstu; każdy dodatkowy akapit zmniejsza szansę na zapoznanie się i zrozumienie prezentowanego w taki sposób tekstu;
• przejrzyste – inaczej czyta się tekst pisany w sposób ciągły, a inaczej podzielony na paragrafy, wyposażony w śródtytuły, ikony lub podobne dodatki, które poprawiają czytelność komunikatu;
• pisane w sposób przystępny – większość pacjentów nie jest i nie będzie specjalistami od ochrony danych osobowych, mogą mieć różne wykształcenie, zasoby językowe i doświadczenie. Z tego względu treść klauzuli informacyjnej powinna być przystępna dla jak najszerszego grona osób. Pomocnym narzędziem w ocenie tekstu pod tym kątem mogą być np. indeks FOG R. Gunninga lub jego polski odpowiednik o nazwie MGŁA [6];
• pisane zrozumiałym językiem – w Polsce językiem urzędowym jest język polski [7], nie wszyscy pacjenci jednak mogą się nim posługiwać w sposób biegły. W tych placówkach medycznych, gdzie jest wielu takich pacjentów, obowiązki informacyjne powinny być przygotowane w językach ojczystych tych osób (np. w ukraińskim lub niemieckim) bądź językach, które ze względu na ich rozpowszechnienie mogą być tym osobom znane (np. w angielskim lub rosyjskim). Analogicznie dla pacjentów niewidomych lub mających problemy ze słuchem powinny być dostępne klauzule informacyjne z wykorzystaniem alfabetu Braille’a lub Polskiego Języka Migowego.

Przypadek szczególny: monitoring wizyjny

Spełnienie obowiązku informacyjnego jest szczególnie istotne w przypadku placówek, które korzystają z monitoringu wizyjnego. Jest to związane z tym, że monitoring stanowi dość inwazyjną formę przetwarzania danych osobowych. Dlatego istotne jest, by pacjenci jak najwcześniej wiedzieli o tym, że znajdują się w zasięgu kamery. Pierwsza warstwa obowiązku informacyjnego powinna być umieszczona tak, aby można było się z nią zapoznać bez wejścia na obszar monitorowany, a następnie możliwe było podjęcie świadomej decyzji co do dalszego postępowania. Jeżeli zatem kamery zainstalowane są w rejestracji, osobnym pomieszczeniu oddzielonym drzwiami, to pierwsza warstwa powinna znaleźć się na drzwiach. Jeżeli system monitoringu obejmuje parking przed budynkiem podmiotu leczniczego, pierwsza warstwa powinna znaleźć się na płocie lub tablicy przed wjazdem.

Prawdopodobnie najbardziej rozpowszechnioną pierwszą warstwą obowiązku informacyjnego w zakresie monitoringu wizyjnego jest tabliczka z napisem OBIEKT MONITOROWANY. Nie spełnia ona oczywiście żadnych wymogów wynikających z przepisów rodo. We wcześniejszej części artykułu podkreśliłem, że pierwsza warstwa powinna zawierać te informacje dotyczące przetwarzania, które mają największy wpływ na pacjenta.

W zakresie monitoringu wizyjnego swoje wytyczne wydała Europejska Rada Ochrony Danych. W dokumencie ze stycznia 2020 r. [8] podaje przykładowo, że na pierwszej warstwie powinny znaleźć się np.:

szczegółowe dane na temat celów przetwarzania, tożsamości administratora i praw przysługujących Osobie, której dane dotyczą, oraz najistotniejszych skutków przetwarzania (…) [9].

Wytyczne zawierają także niewiążącą sugestię tabliczki, informując o stosowaniu systemu kamer dla przetwarzania danych [10].

Na przedstawionej propozycji tabliczki wskazano (jako lokalizację drugiej warstwy obowiązku informacyjnego) rejestrację oraz stronę internetową. Jest to zgodne z wcześniejszymi rozważaniami dotyczącymi miejsca publikacji klauzuli, ale także konkretnym przepisem prawa:

Aktualne informacje, o których mowa w ust. 1 pkt 4, 9, 11 i 12 oraz art. 23a ust. 1 [informacje dotyczące monitoringu – AK], podaje się do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia – art. 24 ust. 2 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej.

Przypadek szczególny: monitoring gabinetowy

Jeszcze bardziej inwazyjną formą przetwarzania danych osobowych jest tzw. monitoring gabinetowy, czyli utrwalanie obrazu w pomieszczeniach, w których są udzielane świadczenia zdrowotne. Działanie takie, wspierające pacjentów w procesie leczenia lub zapewniające im bezpieczeństwo, jest obwarowane licznymi warunkami, które musi spełniać podmiot leczniczy [11].

Do tego rodzaju monitoringu stosuje się odpowiednio przepisy, które dotyczą realizacji obowiązku informacyjnego w ramach monitoringu wizyjnego pomieszczeń ogólnodostępnych w placówkach medycznych, z jednym zastrzeżeniem – miejsca publikacji klauzuli. W mojej ocenie, biorąc pod uwagę obszar objęty kamerami, należy umieścić dodatkowe tabliczki na drzwiach pomieszczeń (np. na drzwiach gabinetu lekarskiego lub przed wejściem na teren zespołu porodowego). Jedynie wtedy pacjent będzie w pełni świadomy tego, że może znaleźć się w zasięgu kamery nie tylko na parkingu, w rejestracji czy na korytarzu, ale także w miejscu, gdzie będą mu udzielane świadczenia zdrowotne.

Przypisy:

1. tinyurl.com/sprawdzamyrodo [dostęp: 11.06.2025].
2. Grupa Robocza art. 29 ds. ochrony danych, Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679, WP 260, tinyurl.com/wytyczne260 [dostęp: 11.06.2025].
3. Tamże, s. 16 i n.
4. Tamże, s. 17.
5. M. Gosz, B. Niezabitowski, [w:] ODO. Compliance. Praktyczny komentarz z przykładami i orzecznictwem, red. P. Litwiński, Warszawa 2025, seria Praxis, par. 7, nb. 33, s. 212.
6. tinyurl.com/mglapiekot [dostęp: 11.06.2025].
7. Art. 27 Konstytucji RP.
8. Europejska Rada Ochrony Danych, Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo (wersja 2.0), tinyurl.com/wytycznewideo [dostęp: 11.06.2025].
9. Tamże, s. 28.
10. Tamże, s. 29.
11. Zob. A. Klimowski, Monitoring wizyjny, „ABI Expert” 2023, nr 4, s. 44–46.

Autor

Adam Klimowski

Autor jest prawnikiem i specjalistą ds. ochrony danych osobowych w firmie AUDYTEL.